Comment préparer un pentest ?

L’organisation d’un pentest va permettre de mettre à l’épreuve la sécurité informatique de l’entreprise. C’est une méthode idéale pour identifier d’éventuelles failles de sécurité et surtout pour leur apporter une solution concrète. Quelle que soit l’approche retenue, black box, grey box ou white box, avant de faire un test d’intrusion, il est nécessaire de bien le préparer. Ce n’est qu’à cette condition que le pentest pourra être pleinement efficace et que vous obtiendrez des résultats concrets.

Pourquoi la phase préparatoire est-elle si importante ?

Il n’est pas possible de tester l’intégralité d’un système informatique en improvisant une méthode. Pour être réellement efficace la préparation du pentest devra permettre la mise en place d’un certain nombre de critères de mesure ainsi que le périmètre testé. La réussite d’un test d’intrusion nécessite une grande rigueur et donc une grande préparation.

Une analyse des risques en amont permettra de déterminer les risques les plus importants, les conséquences les plus coûteuses pour l’entreprise (tant en termes financiers qu’en termes d’image) en cas de cyberattaque réussie. Cela va permettre de définir les objectifs visés par le pentest. Cette analyse n’est pas très coûteuse et peut ne demander que quelques jours de travail. En revanche, elle servira de base pour préparer le test d’intrusion.

Bien définir le périmètre avant de faire un pentest

L’analyse des risques effectuée ayant permis de déterminer les éléments à tester en priorité, la phase de préparation va maintenant servir à déterminer le périmètre exact du test d’intrusion. L’avantage d’effectuer des tests de pénétration sur la production est que les opérations vont se dérouler en conditions réelles. Malheureusement, cela n’est pas toujours possible. Un pentest mené sur la production pourrait altérer le fonctionnement normal de l’entreprise, ce qui n’est pas forcément souhaitable. Dans ce cas, les tests de sécurité peuvent avoir lieu sur un environnement de préproduction avec une configuration iso-prod. L’environnement sera identique à la production, exposé de la même façon aux utilisateurs et éventuellement accessible depuis l’Internet.

Il faut également déterminer si les tests d’intrusion seront menés sur les applications, la configuration des serveurs, mais également sur les codes source. A moins que les serveurs et logiciels réseau gérés par l’équipe infrastructure n’aient toujours leur configuration par défaut, beaucoup de failles de sécurité sont issues des applications développées en interne. Il est donc important de les intégrer au périmètre des tests de sécurité.

La liste des éléments qui feront l’objet de tests d’intrusion sera construite à partir de la liste des données devant être impérativement protégées et dont on doit garantir l’intégrité et de celle des services devant impérativement rester disponibles.

Déterminer les types de tests durant la préparation du test d’intrusion

En fonction de la liste établie des données et des services à protéger impérativement, il sera possible de déterminer quels types de tests devront être utilisés.

Les types de tests de pénétration sont nombreux et varient également en fonction des technologies employées au sein de l’entreprise. Si l’on pense facilement que des tests sont à prévoir pour les sites web, le réseau Wifi et le réseau filaire, il ne faut pas négliger les services de téléphonie VoIP. Les services téléphoniques passant maintenant par le réseau, même s’il peut être spécifique, peuvent être une porte d’entrée pour un pirate s’ils ne sont pas correctement protégés. Les applications mobiles peuvent également être à l’origine d’incidents de sécurité. Une communication non chiffrée à partir d’un réseau Wifi public non protégé peut par exemple conduire à l’interception de données confidentielles. Si de nos jours le travailleur est mobile, les outils mis à sa disposition doivent être parfaitement sécurisés.

Identifier les équipes concernées pour mieux préparer le pentest

Les employés de l’entreprise qui seront impliqués dans le pentest doivent naturellement maîtriser l’infrastructure, l’architecture et la ou les applications qui seront impactées. Des experts ayant une bonne connaissance de l’entreprise devront être sélectionnés.

En fonction de l’approche utilisée pour le pentest, ces experts pourront être sollicités à des moments différents. En amont, ils peuvent aider à faire un inventaire le plus exhaustif possible des informations à protéger et des éventuelles forces et faiblesses du système d’information. Même s’ils n’interviennent pas directement dans le déroulement du pentest, ils devront pouvoir se rendre disponibles afin de répondre aux questions du ou des pentesters. C’est surtout vrai dans les approches white box et grey box. Si certaines informations manquent au pentester ou s’il a besoin de tester certaines vulnérabilités spécifiques, il pourra s’adresser aux personnes désignées. Le cas d’un pentest black box est un peu différent puisqu’il n’y aura a priori aucune communication entre le pentester et l’entreprise cible jusqu’à la fin du test, afin que l’on soit dans des conditions proches d’une attaque réelle.

Les salariés ayant déjà été impliqués précédemment dans un test d’intrusion pour l’entreprise devront bien entendu être sélectionnés en priorité.